Ärger über fehlendes Bug-Bounty-Programm: Sicherheitsforscher will Mac-Schwachstelle offenlegen
Da Apple nur für iOS-Lücken Geld bezahlt, will ein Sicherheitsforscher Details zu einem Bug in macOS veröffentlichen – statt sie vorab an den Hersteller zu melden. Aus gleichem Grund gibt es bereits einen bislang ungefixten Zero-Day-Exploit für macOS.
(Bild: dpa, Silas Stein/Illustration)
Unter Sicherheitsforschern wächst die Kritik an Apple: Der Konzern ist zwar im Sommer 2016 mit einem eigenen Bug-Bounty-Programm nachgezogen, doch deckt dieses nur Schwachstellen in iOS ab – für in macOS gefundene Sicherheitslücken will der Hersteller Entwickler bislang nicht entlohnen.
Aus diesem Grund beabsichtigt der Sicherheitsforscher Patrick Wardle, Details zu einem Bug in Apples Grafikkartentreibern einfach zu veröffentlichen, statt diese erst direkt an den Hersteller zu melden – und diesem Zeit für die Beseitigung zu geben.
Fehlendes Apple-Kopfgeld für Mac-Bugs macht 'Verkauf verlockend'
Der Fehler ermögliche das Auslösen einer Kernel Panic und sei auch in der aktuellen High-Sierra-Version macOS 10.13.2 noch präsent. Apple weigere sich, ein macOS-Bug-Bounty-Programm einzurichten, erklärt Wardle, deshalb sei es schon "verlockend, solche Schwachstellen zu verkaufen".
Für gravierende iOS-Schwachstellen werden von Sicherheitsfirmen und Exploit-Händlern längst fünf- bis sechsstellige Summen geboten. Dies ist auch mit ein Grund dafür, dass es kaum mehr öffentliche Jailbreaks für iOS gibt – schließlich lassen sich die Lücken lukrativer verwenden.
Apple fixt alte Schwachstelle heimlich – verschweigt dies aber über Monate
Der Sicherheitsforscher bemängelt außerdem, dass Apple inzwischen Sicherheitslücken heimlich beseitigt und Informationen dazu erst viele Wochen später versteckt preisgibt. Ein von ihm gemeldeter Fehler, der einer App bereits seit rund 13 Jahren ermögliche, Schadcode mit Systemrechten auszuführen, sei schon im vergangenen Oktober mit macOS High Sierra 10.13.1 (sowie mit einem Sicherheits-Update auch in macOS Sierra und OS X El Capitan) gestopft worden, ein öffentlicher Hinweis auf die Beseitigung der Schwachstelle folgte aber erst jetzt im Januar.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Inhalt geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Das fehlende Bug-Bounty-Programm für macOS führte auch ein anderer Sicherheitsforscher ins Feld, der zum Jahresbeginn den Zero-Day-Exploit IOHIDeous für macOS veröffentlicht hat. Dieser ermöglicht lokalen Programmen, einen Mac zu übernehmen. Apple hat ein Update für Januar in Aussicht gestellt, bislang ist die wohl ebenfalls viele Jahre alte Lücke aber weiter ungeschlossen.
iOS-Bug-Bounty auch nur auf Einladung
Apple zahlt je nach Schwere der Schwachstelle bis zu 200.000 Dollar an Sicherheitsforscher, die Lücken in iOS vorab an den Konzern melden. Allerdings gilt dies offenbar nur auf Einladung durch Apple und unter bestimmten Bedingungen: Ein Sicherheitsforscher, der eine gravierende HomeKit-Schwachstelle an Apple gemeldet hatte, die Unbefugten eine Fremdkontrolle von Heimautomatisierungsgeräten ermöglichte, wurde offenbar nicht entlohnt – er warf Apples Sicherheits-Team im Anschluss öffentlich erhebliche Versäumnisse vor.
Lesen Sie auch:
(lbe)
